Bitcoin Forum

Пока не разобрался, влияет ли эта уязвимость на кошельки (OpenSSL большинством из них используется), однако рекомендую быть готовым к срочному переводу своих койнов на свежесгенерированные адреса (причём не из пула заранее сгенерированных адресов, лучше создать полностью новый кошелёк).

Уязвимость актуальна для серверов, использующих TLS. Атакующий может "попросить" отправлять в Heartbeat кусок дампа памяти приложения до 64кб, которое работает по SSL/TLS. В дампе естественно можно выловить пароли/сертификаты и др. полезную инфу. Уязвинмость двухсторонняя. Так что если браузер использует уязвимую версию openssl, то атакующий может при установке соединения с сервером полазить в памяти процесса браузера.
Вангую очередные "банкротства" недобирж... либо по тупости - не обновившихся и не заменивших (и отозвавших старые) сертификаты; либо на волне этой уязвимости заскамят ваши денежки... как это провернул mtgox.

Я лично высрал тонну кирпичей. Это ахтунг и алярма.

Это реально жесть и куча гемора админам. Чувствую скоро появятся "веселые" новости (
Posted from Bitcointa.lk - #m9MyYAzvpPo1Kffo

Хоть тут порядок
Posted from Bitcointa.lk - #fdtPv5NJhrQT39zV

скоро будет 0.9.1, где будет исправлен этот баг...

http://newsbtc.com/2014/04/08/gavin-andresen-expect-bitcoin-core-0-9-1-release-soon-heartbleed-openssl-bug/

А вот что с форками на которые уже забили разработчики, но которые ещё живы и торгуются на биржах??
Хотя вроде не так всё страшно

Скоро (в репах) будет 1.0.1g, где он пофиксен. Ветка 0.9 не затронута.

можно скачать уже https://bitcoin.org/bin/0.9.1/

так эта уязвимость не только кошельки затрагивает но и по сути весь современный "защищенный" интернет

А не у кого нету ощющения, что АНБ уже просто издевается не только над чайниками и правительствами,
но и над программистами?     (если конечно эту криворукую быдломассу что-то как-то там калякающими на квазиассемблере можно называть программистами)


PS  ну че, дети, нормальные языки-то учить будем, или будете ждать пока все недобиржи обчистят?
(впрочем я смотрю даже это на пользу не идет, пофигизм и криворукость похоже не лечаться)
http://www.ada-ru.org/

PPS  ну че поняли теперь почему я хочу сделать отдельный форк базовых монет для color coin?..

http://www.youtube.com/watch?v=x4C5E_eBXj8


Нет ощущения, что смена языка кардинально повлияет на качество кода.
Да, перейдя с С++ на Java и обратно на C++ мне показалось, что я уловил чем одно лучше другого.
Но в целом - программирование это "ручной" труд, который плохо автоматизируется и следовательно подвержен "человеческому фактору"

а смысл менять шило на мыло?   Ни на Ц, ни на жабе/Ц# код все равно толком не читаем!


А вот в переводе всего open source на Аду(ну и Q&S еще заставить читать как отче наш, если по-хорошему не понимают) смысл есть - в этом случае уже НАРОД сможет там разобраться, и исправлять ошибки и чистить закладки сам!

Доходит суть?


А счас от опенсорса пользы вообще никакой(разве что в халяве - кстати программисты на меня обижаются когда я называю все гнусное кучей бесплатного хлама) - все равно там никто вообще не понимает что написано, и можно в наглую у всех на виду засунуть любую закладку, что похоже АНБ и делает...

Vladimir
PS   проблема с дибилами-программистами в принципе легко решается - но нужны норм менеджеры кому не пофиг
http://project.megarulez.ru/forums/showthread.php?t=22585
http://project.megarulez.ru/forums/showthread.php?t=22567

PPS   если наберется несколько чел кто готов поработать менеджером(командиром) и/или дать donate(на первое время, потом я думаю можно будет перевести на самоокупаемость и даже прибыль), то эту проблему решим...
(умение программировать не требуется, и даже лучше если это будут люди кто ни разу не видел программирование - тогда наконец-то и в документации порядок наведем - заставим программистов писать нормальную документацию, точнее переписывать ее до тех пор, пока она не станет понятна нормальным людям, а не только кучке укуренных линуксоидов)
Есть желающие навести там порядок?

Скажу честно: Аду я в первый и последний раз видел на 4-ом курсе 20 лет назад. Причем, на экзамене не смог ответить про исключения и получил "банан" (преподаватель был весьма удивлен, так как в той сессии у меня было семь пятерок подряд в зачетке по другим дисциплинам)

Читаемость кода - это относительное, а не абсолютное понятие. Если вы программируете на Паскале - вам будет плохо понятен код на Лиспе и наоборот. Так что [imho] Ада не станет "серебрянной пулей", которая враз решит все проблемы.
[Работа с памятью и range-checking мне в жаве доставляет огромное удовольствие по сравнению с тем же C++]

Собственно, в шапке форума новость появилась. Для тех, кто не очень в ладах с английским, краткий пересказ стартового поста из "More info":

боюсь что вы ее уже через 5-10 лет не узнаете - стандарт совершенствуется _непрерывно_ (других таких не знаю!),
новые версии стандарта принимаются каждые лет 10:  после 83 были уже 95, 2005, 2012 вроде...

То есть там в новых навотах даже те кто все каждый день писал на ней все эти годы разобраться не могут ;)

Но что хорошо - совместимость со старыми версиями сохраняется полностью, так что проблем нет - фирма гарантирует что все ваши программы написанные лет 30 назад будут работать без переделки, причем в _т.ч. и на новом железе_!


То есть можете найти свой старый курсовик и откомпилировать его для бортового компьютера боинга - запуститься и там, даже без переделки.



с нуля ее можно освоить недели за 2-3(курсы для полных дебилов), но обычно нормальным людям 2-3 дней хватает.

И что главное - после этого можно вас сразу подключать к серьезным проектам, в отличии от Ц где даже 5-10 лет опыта мало.



в вашем конкретном(тяжелом ;) ) случае все что вам надо - вычистить хотя бы все закладки из кошельков,
а для этого над чтобы ЛЮБОЙ мог разобраться в коде.   Только на Аде это делается без проблем - даже если
вообще его раньше не видели, все равно все понятно и можно проверить и разобраться что и как делается...

Vladimir
PS  ну че, может замутим народную фирму по сертификации программ?
(можно и валюту свою или криптоакции выпустить)

Контрольное слово здесь seems... ;D

http://s017.radikal.ru/i421/1404/ea/bb93234db76f.png

 ;D

tvv, а можно пример ваших трудов на аде? Столько разговоров, покажите нам успешное применение

Может мне понравится и я адский бот запилю)))))

Применение местами широкое, однако это не означает, что этот язык нужно делать объектом религиозного преклонения. Потому что если дальше пойти, то в сравнении с лиспом ада - это распиаренное УГ.

ну преклоняться это врядли(знал бы ты как некоторые Q&S не любят - наверно носом в дерьмо приятнее ;),
а за pragma Ada83; на меня даже обиделись - но зато никакого новомодного дерьма, компилятор гарантирует),
а вот сделать обязательным можно - причем двигать со стороны менеджеров и начальства,
бо я уже сильно сомневаюсь в ниличии мозгов у программистов вообще...


ппц, и ты туда-же.  Теплое с мягким не пробовал сравнивать?   У тебя получается...

Vladimir
PS  Ада язык _алгоритмический_(и лучший из них), а лисп и пролог заточен под списки и правила.
Хотя я уже давно подумываю сделать какие-нить библиотеки вроде LispStype, PythonStyle и тд, еслив кому нравиться...

ну на мелких программах не заметите вообще никакой разницы - кстати gnat и кодогенераторы из gcc использует, так что и на выходе будет практически идентично...

А вот на больших проектах разница заметна - когда пытаешься там ковыряться.
(кстати мой Hello world для новичков видели?  Исходники самого компилятора...
Ну а че мелочиться - пусть сразу разбираются и двигают проект дальше - опенсорс же)

Скачайте скажем исходники линукса(или gcc) и попробуйте там разобраться, ну скажем че-нить найти и исправить,
например русификацию провести(чтобы на русский алфавит не ругался - кстати в turbo я когда-то нашел эту проверку,
но исправить не смог - настолько там плотный был код что лишних пару байт вставить не куда),
а потом какой-нить проект на Аде - например исходники самого gnat, ну или хоть реализацию этого SSL,
в Аде это библиотека AWS, кстати будет полезно поискать дырки и там, программисты же писали...

Vladimir

ну давайте сравним че-нить конкретное чтоли...  О, и subj в тему ;)


вот значит либа на аде, со всекими веб-ными делами и протоколами - вроде как и SSL там тоже был...

http://en.wikibooks.org/wiki/Ada_Programming/Libraries/Web/AWS
http://www.ohloh.net/p/aws
http://libre.adacore.com/tools/aws/



Теперь найдите то-же самое на Ц и давайте сравним где понятнее и читаемее...



Слышь, ты эта, как протрезвеешь и моск хоть немного работать начнет(забыл где работаешь и что скажут
при сертификации на лисп или пролог?) - потрудись на Ц найти аналоги этой адской библиотеке,
то тока ссылочки найти нормальные, а то меня боюсь стощнит от того что любят Ц-ники...

Тогда и поговорим ;)

Vladimir

Ему про лисп, а он про Ц... И кто тут протрезветь-то должен, хеллоу? ::)

Глупость какая-то.

да мне таки интересно, что будет если на сертификацию принесешь прогу на лиспе...
Попробуй как-нить - потом расскажешь.

А лисп с Адой сравнивать вообще не корректно - языки совершенно разного типа.

Вот Ада и Ц - практически полные аналоги, можно сказать конкуренты,
хотя каким может быть конкурентом ЯВУ квазиассемблер...


PS  вот если бы ты знал Аду - то таких ошибок бы не делал - поумнел бы сразу ;)
Там type число_ложек is integer;  и type число_вилок is integer; будут разными(и не совместимыми!) типами...
А вот в Ц да такая-же каша как и у тебя уже в голове ;)

Как быть в этом случае? 8)

http://voenspec.ru/products_pictures/lozhka-vilka-iz-nerzhaveiki-484.jpg

А для этого есть функции преобразования типов - надо явно написать к какому типу преобразуешь.

Причем это не какая-нить малозаметная закорючка как в Ц или перлах, а название типа, длинное слово, заметишь...
(без преобразования получишь ошибку компиляции - ошибка все равно не пройдет)

Я не про преобразование, я про объединение - про объект, который может быть и вилкой и ложкой (как раз ваш случай, а пример из реальности)... 8)

Если речь про конкретно вот эту Heartbleed, то смена языка там точно бы ничем не помогла. На каком бы языке не напиши выделение памяти согласно данных пришедших по сети без параноидальных проверок этих данных - получишь тоже самое. Нет там проблемы по выходу из диапазона и прочих тормозящих выполнение проверок языков высокого уровня, всё на первый взгляд чинно и благородно.

Поэтому и надо чтобы проект проверяло не 1.5 укуренных программиста, а миллионы - а для этого надо писать на чем-то понятном.

Вообще-то говоря, это как раз взламыватели имеют весьма укуренный мозг. Программисты думают как решить задачу, а взламыватели - как данное решение использовать для плохих целей. :) И кстати, ваши миллионы как раз и делают насквозь дырявое на этих php/java/perl-ах...

Если хакеры оказываются умнее программистов - то во-первых таким программистам не место в программировании,
а во-вторых такие поделки должны быть выкинуты и заменены на надежный софт...

А чем больше народу сможет проверить исходники - тем больше ошибок будет найдено.
(то что твориться сейчас open source можно назвать только условно - там и сами авторы то через год разобраться не могут, не то чтобы кто-то посторонний мог проверить - вот для этого и надо сделать сертификацию и опросы/голосования, если иходники не понятен для всех то его надо срочно начинать переписывать, пока не хакнули)

Vladimir

Херня какая-то, это тоже самое что сказать разрушители памятников умнее скульпторов.

Сразу видно, что никогда не аудитили closed-source. :)
Могу и прекрасный пример: как известно, политики майкросовского домена - это просто записи в реестр, которые сами ни на что не влияют, то есть если программа хочет им следовать, она сама должна читать соответствующие ветки реестра и сама себя ограничивать. Как следствие, то что наограничивали политикой для "проводника" элементарно обходится, например, вызов соответствующих действий через макросовскую же Пуск->Помощь->Найти как сделать что-то->тык. Охренеть безопасность...

Ага, а теперь скажите что никто из миллиона пользователей не заметит эту "мелоч" когда посмотрит код, если он конечно будет понятен.
(а если не понятен - предлагаю сразу его и браковать по этому критерию)

Причем среди пользователей не только домохозяйки, но и инженеры и др, кто в принципе на порядки умнее этих мальчиков-программистов...

1. Математик != программист
2. Программист != хакер
3. Хакер != скрипткидди

1. Создают ПО типа OpenSSL в первую очередь математики, хорошо разбирающиеся в предметной области (криптографии). Прикажете им не писать код? Ну-ну. Весело будет смотреть на уязвимый, но архитектурно вылизанный код. Debian OpenSSL bug (https://www.schneier.com/blog/archives/2008/05/random_number_b.html) помните?
2. Умение программировать (под этим я понимаю в первую очередь создание архитектуры системы и старания по поддержанию её при воплощении идеи в код) ещё не означает умения находить потенциальные бэкдоры в своём коде. Да и требования к безопасности у разного софта разные.
3. Умение пользоваться метасплойтом или подобными инструментами само по себе не делает человека хакером. Т.е. это ещё не означает, что он сможет сам найти уязвимость в коде.

Отчасти верно, но сможет проверить и проверит — разные вещи. У больших одноранговых команд есть одна проблема — большинство ждёт, что задачу решит (сделает код-ревью в нашем случае) кто-нибудь другой. Вдобавок, удерживать в голове при чтении все взаимосвязи проекта смогут только глубоко в него погрузившиеся люди. У многих ли возникнет желание тратить на это своё время (много времени), да ещё и бесплатно?

Для всех? В этом случае команды разработчиков любого ПО рискуют быстро превратиться в бесплатные обучающие центры. Делом когда заниматься?

Ошибки в ПО будут всегда. С этим следует смириться. Помочь может разве что формальная верификация, но она даже для космических проектов не делается (не всегда, не полностью, не для новых условий — нужное подчеркнуть), что уж говорить о рядовом софте. Почитайте (http://www.osp.ru/os/1998/06/179592/), интересная статья. Кстати, использовалась Ада :)

да знаю, децкий сад...   (над EADS уже и прикалываться скучно - все руки не доходят под носом у них запатентовать то что они упускают)

Сделали 2 ошибки

1  Вместо специалистов привлекли программистов - хотя Ада как раз позволяет привлекать не-программистов,
  то есть тут собсно ничего полезного из Ады и не было использовано...

2  Излишне усложнили проект.   Метод ампутации рулит ;)

Vladimir